設計報告網絡監聽wireshark介紹Wireshark（前稱Ethereal）是一個網絡封包分析軟件。網絡封包分析軟件的功能是截取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。在過去，網絡封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費的途徑取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權利。Ethereal是全世界最廣泛的網絡封包分析軟件之一。網絡管理員使用Wireshark來檢測網絡問題，網絡安全工程師使用Wireshark來檢查資訊安全相關問題，開發者使用Wireshark來為新的通訊協定除錯，普通使用者使用Wireshark來學習網絡協定的相關知識。當然，有的人也會“居心叵測”的用它來尋找一些敏感信息……Wireshark不是入侵偵測系統（IntrusionDetectionSystem,IDS）。對于網絡上的異常流量行為，Wireshark不會產生警示或是任何提示。然而，仔細分析Wireshark截取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark不會對網絡封包產生內容的修改，它只會反映出流通的封包資訊。Wireshark本身也不會送出封包至網絡上。wireshark工作流程（1）確定Wireshark的位置。如果沒有一個正確的位置，啟動Wireshark后會花費很長的時間捕獲一些與自己無關的數據。（2）選擇捕獲接口。一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。（3）使用捕獲過濾器。通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。（4）使用顯示過濾器。通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。（5）使用著色規則。通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規則高亮顯示。（6）構建圖表。如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。（7）重組數據。Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。wireshark下載安裝從官網/下載安裝包，在windows環境下進行安裝。安裝成功后啟動界面如下wireshark捕獲報文使用wireshark監聽本地網卡，捕獲數據包。通信建立成功報文的端口36935為客戶端的端口502為服務端主動打開。發送SYN，協商windowsize、TCPMSSseq=0len=0MSS=65459win=43690最大窗口大小。服務端接收到syn?；貜蛃ynack=0+1并發送自身seq=0確認自己的最大win=43690MSS=65459客戶端接收到服務端發送來的ack和服務端自身的seq，客戶端要發送ack=0+1，給服務端發送確認報文。服務端接收后，通信建立成功數據收發報文分析雙擊具體報文，查看詳細信息可以看到數據收發實際上是應用層協議數據，例如圖中是modbus協議的數據報文，如何區分報文是數據報文還是網絡報文，可以通過len長度或者下方的協議層查看主動關閉，發送FIN。Seq=328服務端狀態為FIN_wait1處于半關閉狀態客戶端狀態為closed_wait處于半關閉狀態客戶端發送確認ackack=328+1服務端狀態為FIN_wait2客戶端發送FINseq=133客戶端狀態為LAST_ack服務端狀態為time_wait服務端發送ackack=133+1客戶端狀態closed服務端狀態closed，至此本次通信結束wireshark過濾規則一、針對wireshark最常用的自然是針對IP地址的過濾。其中有幾種情況：（1）對源地址為的包的過濾，即抓取源地址滿足要求的包。表達式為：ip.src==（2）對目的地址為的包的過濾，即抓取目的地址滿足要求的包。表達式為：ip.dst==（3）對源或者目的地址為的包的過濾，即抓取滿足源或者目的地址的ip地址是的包。表達式為：ip.addr==,或者ip.src==orip.dst==（4）要排除以上的數據包，我們只需要將其用括號囊括，然后使用"!"即可。表達式為：!(表達式)二、針對協議的過濾（1）僅僅需要捕獲某種協議的數據包，表達式很簡單僅僅需要把協議的名字輸入即可。表達式為：http（2）需要捕獲多種協議的數據包，也只需對協議進行邏輯組合即可。表達式為：httportelnet（多種協議加上邏輯符號的組合即可）（3）排除某種協議的數據包表達式為：notarp!tcp三、針對端口的過濾（視協議而定）（1）捕獲某一端口的數據包表達式為：tcp.port==80（2）捕獲多端口的數據包，可以使用and來連接，下面是捕獲高端口的表達式表達式為：udp.port>=2048四、針對長度和內容的過濾（1）針對長度的過慮（這里的長度指定的是數據段的長度）表達式為：udp.length<30http.content_length<=20（2）針對數據包內容的過濾表達式為：http.request.urimatches"vipscu"（匹配http請求中含有vipscu字段的請求信息）wireshark捕獲瀏覽網頁wireshark無法在未配置對應服務器的ssl相關證書的情況下解析捕獲到的https內容，因此才用其捕獲http協議的網絡內容。分析http報文在協議框中選擇“GET/HTTP/1.1”所在的分組會看到這個基本請求行后跟隨著一系列額外的請求首部。在首部后的“\r\n”表示一個回車和換行，以此將該首部與下一個首部隔開?！癏ost”首部在HTTP1.1版本中是必須的，它描述了URL中機器的域名，本測試中是。這就允許了一個Web服務器在同一時間支持許多不同的域名。有了這個首部，Web服務器就可以區別客戶試圖連接哪一個Web服務器，并對每個客戶響應不同的內容。User-Agent首部描述了提出請求的Web瀏覽器及客戶機器。接下來是一系列的Accpet首部，包括Accept、Accept-Language、Accept-Encoding、Accept-Charset。它們告訴Web服務器客戶Web瀏覽器準備處理的數據類型。Web服務器可以將數據轉變為不同的語言和格式。這些首部表明了客戶的能力和偏好。Keep-Alive及Connection首部描述了有關TCP連接的信息，通過此連接發送HTTP請求和響應。它表明在發送請求之后連接是否保持活動狀態及保持多久。大多數HTTP1.1連接是持久的（persistent），意思是在每次請求后不關閉TCP連接，而是保持該連接以接受從同一臺服務器發來的多個請求。已經查看了由Web瀏覽器發送的請求，現在來觀察Web服務器的應答。響應首先發送“HTTP/1.1200ok”，指明它開始使用HTTP1.1版本來發送網頁。同樣，在響應分組中，它后面也跟隨著一些首部。最后，被請求的實際數據被發送。第一個Cache-c